Hallo,
ist es möglich bzw. irgendwo ersichtlich das eine portable Version eines Datei-Shredders via USB-Stick auf einem Rechner mit Windows XP ausgeführt wurde?
Hintergrund ist ein Datenverlust der anders nicht zu erklären ist.
Jeglicher Versuch, der Suche nach gelöschten Dateien schlägt fehl. Es scheint als wäre der betreffende Ordner mit Inhalt nie da gewesen, obwohl er gestern noch da war...
Besten Dank im vorraus
Maybe 
lekxer „Ausführung einer portable Version nachweisbar?“
Moin,
die Frage kann man nicht generell beantworten. Ich nutze zahlreiche Programme von USB-Stick. Einige benötigen Treiber zur Funktion, andere schreiben sich in die Registry, noch andere installieren sogar Teilelemente über den Windows-Installer und sind unter Software zu finden.
Evtl. hilft Dir ein Blick in die Ereignisanzeige, oder ob neue Einträge im Userprofil (z.B. Logs) zu finden sind.
Wenn ein User so ein Programm von USB-Stick ausführen kann, hat man als Admin eigentlich was falsch gemacht.
Vielleicht wurde auch nur cipher benutzt:
http://support.microsoft.com/kb/315672
Gruß
Maybe
mawe2 Maybe „Moin, die Frage kann man nicht generell beantworten. Ich...“
Ich nutze zahlreiche Programme von USB-Stick. Einige benötigen Treiber zur Funktion, andere schreiben sich in die Registry, noch andere installieren sogar Teilelemente über den Windows-Installer und sind unter Software zu finden.
torsten40 lekxer „Ausführung einer portable Version nachweisbar?“
Viel zu Waage.
Du kannst im Ordner "recent" (Start -> Ausführen -> recent -> enter) nach gucken, ob eventuell etwas ungewöhnliches zu finden ist. Oder eben die Registry nach etwas unbekanntem durchsuchen.
Die Chancen stehen gleich Null.
gelöscht_101060 lekxer „Ausführung einer portable Version nachweisbar?“
Du könntest auch mal mit dem nachfolgenden Programm schauen, was für USB-Devices wann an dem Rechner angesteckt wurden: http://www.chip.de/downloads/USBDeview-32-Bit_25521735.html
BG,
Bergi2002
InvisibleBot lekxer „Ausführung einer portable Version nachweisbar?“
Schau unter C:\Windows\Prefetch
Da drin legt Windows Informationen von jeder ausführbaren Datei ab, die auf dem System gestartet wurde, um sie in Zukunft schneller laden zu können. Die Dateien tragen den Namen der ursprünglichen ausführbaren Datei, nur mit der Dateiendung .pf.
Die Methode ist aber nicht zuverlässig, wer sich auskennt denkt daran und löscht die Verweise dort.
mawe2 InvisibleBot „Schau unter C:\Windows\Prefetch Da drin legt Windows...“
Interessant, das wusste ich noch nicht.
Habe es gerade mal mit FileZilla und mit LibreOffice (jeweils in der Portable-App-Version) probiert. Die Programme tragen sich tatsächlich dort ein. Es entstehen jeweils 2 pf-Dateien mit dem Zeitstempel des letzten Starts. Bei erneutem Start werden auch diese Dateien erneuert so dass man wieder am Zeitstempel erkennt, das das Programm erneut gestartet wurde.
(Allerdings habe ich es mit Windows 7 getestet. Gibt es diesen Prefetch-Ordner auch unter Windows XP ??)
Den Prefetch-Ordner kann der normale Benutzer nicht einsehen, man braucht Admin-Rechte.
Gruß, mawe2
celsius mawe2 „Interessant, das wusste ich noch nicht. Habe es gerade mal...“
Gibt es diesen Prefetch-Ordner auch unter Windows XP
celsius lekxer „Ausführung einer portable Version nachweisbar?“
Mal ganz doof gefragt: Was für eine Art von Dateien vermisst du? Hast du schon mal versucht, chkdsk auszuführen? Ich meine, nicht dass deine Festplatte einen Schaden hat und bald noch mehr Daten verschwinden.
Mir ist es auch schon mal passiert, dass ich unbemerkt Dateien in ein anderes Verzeichnis verschoben hatte - frag mich jetzt aber nicht wie ich das geschafft habe :D
lekxer celsius „Mal ganz doof gefragt: Was für eine Art von Dateien vermisst...“
Ich vermisse einen Ordner, samt 5 Unterordner, welche jeweils ein bis zwei Excel Dateien beiinhaltete.. Chkdsk versucht, alles OK
Ich sag mal so, insgesamt sind bestimmt ca. 35 Ordner plus Unterordner auf der Platte, ist es wahrscheinlich, das genau einer von heute auf morgen komplett verschwindet aufgrund eines Schadens an der Platte?
Die Idee mit dem Verschieben kam mir auch schon, habe ich testweise mal mit einem Ordner probiert.Recuva zeigt mir den Ordner an und ich könnte die Daten wiederherstellen die ich verschoben habe..
Ich habe mit Recuva eine Excel Datei aus dem betreffenden Ordner gefunden, die ich zwar nicht wiederherstellen kann, jedoch stand in der Erklärung das diese Datei überschrieben wurde von einer völlig anderen Excel Datei aus einem ganz anderen Ordner.
Also quasi Datei "\Test1\Excel1.xls" wurde überschrieben von "\Test2\Excel5.xls"
Ich kann mir das nicht erklären..
groggyman lekxer „Ich vermisse einen Ordner, samt 5 Unterordner, welche jeweils...“
Hallo
Habe gerade neue Tools entdeckt, vielleicht gefällt dir eines davon und hilft dir bei deinem Problem.
Tools for Spy
-groggyman-
Maybe lekxer „Ausführung einer portable Version nachweisbar?“
Moin,
falls noch Interesse bestehen sollte, evtl. für die Zukunft: Hast Du schon einmal was von WMI gehört?
http://de.wikipedia.org/wiki/Windows_Management_Instrumentation
Was da alles aufgezeichnet wird und ausgelesen werden kann, ist schon enorm. Ich konnte damit u.A. klar die Ausführung von Portable Apps nachweisen.
Zum Auslesen der Daten kann man z.B. den WMI-Explorer nutzen, Datenbank- und SQL-Kenntnisse sind von Vorteil:
http://www.heise.de/download/wmi-explorer-81def87879b61a6804b75309960cbf7a-1346094128-2669189.html
Einfacher, aber nicht ganz so umfangreich ist der BTF-Sniffer:
http://www.chip.de/downloads/BTF-Sniffer_33912656.html
Tools wie Everest, SIW usw. nutzen übrigens auch Daten, die sie aus WMI auslesen.
Beim Auslesen der Daten auf dem lokalen Rechner solltest Du dringend den Datenschutz im Blick behalten, denn damit kann man u.A. auch zuletzt verwende Email-Adressen, oder Internetseiten anzeigen.
Gruß
Maybe
